DB32/T 3514.4-2019 电子政务外网建设规范 第4部分:安全实施要求

ICS35.240.01

L67

DB32

江苏省地方标准

DB32/T3514.4—2019

电子政务外网建设规范

第4部分:安全实施指南

ConstructionSpecificationsofE-GovernmentNetwork

Part4：Guidelinesforsafetyimplementation

2019-01-12发布2019-01-30实施

江苏省市场监督管理局发布

DB32/T3514.4—2019

目  次

前言.....................................................................................................................................................................IV

1范围.................................................................................................................................................................1

2规范性引用文件.............................................................................................................................................1

3术语和定义.....................................................................................................................................................1

4总体要求.........................................................................................................................................................2

5建设原则.........................................................................................................................................................2

5.1等级保护原则.........................................................................................................................................2

5.2多重防护原则.........................................................................................................................................2

5.3分级管理原则.........................................................................................................................................3

5.4规范管理原则.........................................................................................................................................3

6网络安全架构及安全域划分.........................................................................................................................3

6.1网络安全架构及安全域划分原则.........................................................................................................3

6.2网络安全架构划分.................................................................................................................................3

6.2.1网络安全架构划分概述.................................................................................................................3

6.2.2广域网安全.....................................................................................................................................3

6.2.3城域网安全.....................................................................................................................................3

6.2.4部门接入网安全.............................................................................................................................3

6.3业务区划分.............................................................................................................................................4

6.4安全域划分.............................................................................................................................................4

6.4.1总体要求.........................................................................................................................................4

6.4.2互联网接入域.................................................................................................................................4

6.4.3安全管理域.....................................................................................................................................5

6.4.4数据中心域.....................................................................................................................................5

7网络互联安全要求.........................................................................................................................................5

7.1广域网互联.............................................................................................................................................5

7.2广域网与城域网互联.............................................................................................................................5

7.3城域网与部门接入网互联.....................................................................................................................5

7.4城域网与互联网互联.............................................................................................................................6

7.5IPv6的支持与过渡要求........................................................................................................................6

8电子认证.........................................................................................................................................................6

9终端安全防护.................................................................................................................................................6

9.1终端安全防护概述.................................................................................................................................7

9.2电子政务外网终端.................................................................................................................................7

9.2.1身份鉴别.........................................................................................................................................7

I

DB32/T3514.4—2019

9.2.2准入控制.........................................................................................................................................7

9.2.3安全防护.........................................................................................................................................7

9.2.4安全审计.........................................................................................................................................7

9.2.5终端复用.........................................................................................................................................7

9.3互联网接入终端.....................................................................................................................................7

9.3.1总体要求.........................................................................................................................................7

9.3.2PC终端及业务应用主机................................................................................................................7

9.3.3移动终端.........................................................................................................................................8

10安全综合管理平台.......................................................................................................................................8

10.1扫描采集层...........................................................................................................................................8

10.2安全管理层...........................................................................................................................................9

10.3分析展现层...........................................................................................................................................9

10.4对外接口层...........................................................................................................................................9

11等级保护要求...............................................................................................................................................9

11.1概述.......................................................................................................................................................9

11.2定级方法...............................................................................................................................................9

11.3边界划分...............................................................................................................................................9

11.4定级要求...............................................................................................................................................9

11.5实施要求.............................................................................................................................................10

附录A（规范性附录）表A.1江苏省电子政务外网安全等级保护基本要求实施建议表..................11

附录B（资料性附录）安全等级保护第三级政务外网（以设区市为例）.............................................18

附录C（资料性附录）安全等级保护第二级政务外网案例（以区、县为例）.....................................20

附录D（资料性附录）《政务外网安全等级保护定级报告》模板.........................................................21

II

DB32/T3514.4—2019

前  言

DB32/T3514-2018《电子政务外网建设规范》分为八个部分：

——第1部分：网络平台；

——第2部分：IPv4地址、路由规划；

——第3部分：IPv4域名规划；

——第4部分：安全实施指南；

——第5部分：安全综合管理平台技术要求与接口规范；

——第6部分：安全接入平台技术要求；

——第7部分：电子认证注册服务机构建设；

——第8部分：运维服务。

本部分为DB32/T3514-2018《电子政务外网建设规范》第4部分。

本部分按照GB/T1.1-2009给出的规则起草。

本部分由江苏省人民政府办公厅电子政务办公室提出并归口。

本部分起草单位：江苏省人民政府办公厅电子政务办公室。

本部分起草人：吴中东、李强、黄敏、朱德宇、李永杰、李寒、吴凡、熊章远、杭欣竹。

III

DB32/T3514.4—2019

电子政务外网建设规范第4部分:安全实施指南

1范围

本标准规定了电子政务外网建设规范安全实施指南的总体要求、建设原则、网络安全架构及安全域

划分、网络互联安全要求、电子认证、终端安全防护及安全综合管理平台等内容。

本标准适用于指导全省电子政务外网安全防护体系的建设，主要涉及网络安全架构设计、业务区及

安全域的划分及防护、边界安全防护、身份认证、终端安全防护和安全综合管理平台建设等工作，也可

作为各级电子政务外网管理部门进行指导、监督和检查的依据。

2规范性引用文件

下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文

件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB/T5271.8信息技术词汇第8部分：安全

GB17859计算机信息系统安全保护等级划分准则

GB/T22239信息安全技术信息系统安全等级保护基本要求

GB/T22240信息安全技术信息系统安全等级保护定级指南

GB/T30278信息安全技术政务计算机终端核心配置规范

GW0202-2014国家电子政务外网安全接入平台技术规范

GW0201-2011国家电子政务外网IPSecVPN安全接入技术要求与实施指南

《关于加快推进国家电子政务外网安全等级保护工作的通知》（政务外网[2011]15号）

3术语和定义

GB/T5271.8和GB17859-1999界定的以及下列术语和定义适用于本文件。

3.1

部门接入网DepartmentAccessNetwork

指电子政务外网接入用户自行建设和管理的本地局域网络或部门业务专网。多部门合驻办公楼且楼

内网络由专门机构统一管理时，可以实现整体接入政务外网，办公楼内的局域网络可以视为一个接入局

域网。

3.2

移动终端MobileDevice

指在移动业务中使用的，基于互联网进行通信，从电子政务外网安全接入区接入的智能终端设备，

包括手机、PAD等通用终端和专用终端设备。

3.3

1

DB32/T3514.4—2019

互联网接入终端InternetAccessTerminal

指基于互联网进行通信，从电子政务外网安全接入区接入的移动终端、PC终端或业务应用主机。

3.4

电子政务外网终端E-GovernmentNetworkTerminal

指位于电子政务外网内部，基于电子政务外网网络设施（不含互联网等公用网络）进行通信的PC

终端。

3.5

电子政务移动办公系统MobileE-GovernmentSystem

利用移动终端，随时随地通过无线网络、互联网等访问电子政务办公系统，进行网上办公的应用系

统。

3.6

移动终端管理MobileDeviceManagement

移动终端管理为移动终端设备提供注册、激活、使用、淘汰各个环节的远程管理支撑，实现用户身

份与设备的绑定管理、设备安全策略配置管理、设备应用数据安全管理等功能，简称MDM。

3.7

移动应用管理MobileApplicationManagement

针对移动应用软件，提供从分发、安装、使用、升级和卸载等过程和行为的监控和管理，简称MAM。

3.8

移动内容管理MobileContentManagement

针对移动终端访问、存储、传输或处理的数据内容，提供信息过滤、访问控制、数据加密、安全隔

离、剩余信息清除等管理措施，简称MCM。

4总体要求

贯彻执行国家信息安全相关法律法规，在国家信息安全主管部门的指导下，统筹规划，分级建设，

通过不断加强电子政务外网的整体安全防护能力，建立起能够有效抵御安全风险，适合电子政务外网可

持续发展的信息安全防护体系，为电子政务外网的业务应用提供坚实的安全保障。

5建设原则

5.1等级保护原则

按照GB17859、GB/T22239、GB/T22240及《关于加快推进国家电子政务外网安全等级保护工作的

通知》（政务外网[2011]15号），确定本级电子政务外网的安全等级，并对所辖网络实施安全保护。

5.2多重防护原则

2

DB32/T3514.4—2019

强化预防优先、管控并重的安全意识，基于多维度安全防护手段，构建可持续发展的立体纵深安全

防护体系。

5.3分级管理原则

省政府办公厅电子政务办公室负责全省电子政务外网安全防护体系建设指导工作；各设区市政府办

公室负责本地区安全防护体系建设指导工作。各地各部门按照相关法律法规实施等级保护，定期开展安

全评估。

5.4规范管理原则

建立领导负责制，从机构、制度、人员、运行维护、资金保障等方面实现全面、有效、规范管理。

6网络安全架构及安全域划分

6.1网络安全架构及安全域划分原则

统一的国家电子政务外网应由国家、省、市、县级广域网和城域网组成。各级部门可通过本级城域

网接入电子政务外网。各级城域网边界可建设互联网区，为本级政务部门访问互联网及部署面向公众服

务的应用系统提供服务。

6.2网络安全架构划分

6.2.1网络安全架构划分概述

省电子政务外网骨干网基于电信传输网络建设,传输网按技术类型可分为MSTP网、SDH网和光纤网络

等,基于传输网之上的IP承载网按电子政务网络结构及所处位置可划分为广域网、城域网和部门接入网。

6.2.2广域网安全

省电子政务外网广域网主要包括省级广域网、市级广域网和县级广域网：

a)省电子政务外网广域网内主要传输数据、视频、图像等相关业务。政务外网可通过MPLS/VPN

或其他网络隔离技术,对不同的业务系统进行隔离。

b)省至设区市广域网主干不应承载直接访问互联网的业务。设区市政务外网互联网出口应实行统

一集中管理,采取有效技术手段分区分域，做好安全防护工作。

c)县级及以下政务外网接入部门原则上不应设互联网出口,在使用设区市统一互联网出口时，应

采用有效的隔离技术,保证电子政务外网业务的安全。

6.2.3城域网安全

省电子政务外网城域网包括省级城域网、市级城域网和县级城域网，各级城域网可通过部署统一互

联网安全域与互联网进行连接：

a)省电子政务外网城域网在各级网络互联汇聚层边界，根据业务需求应部署安全边界访问控制策

略，采取相关技术防护措施。

b)各级政务外网城域网为政务部门提供统一互联网接入服务时,应做好相应的安全防护工作,对

互联网业务和电子政务外网业务加以区分,做好区域安全防护，确保电子政务外网业务系统安

全。

6.2.4部门接入网安全

3